Wiederherstellung - AWS Security Incident Response Benutzerleitfaden

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Wiederherstellung

Bei der Wiederherstellung werden Systeme in einen bekannten sicheren Zustand zurückversetzt, wobei vor der Wiederherstellung überprüft wird, ob Backups sicher sind oder nicht vom Vorfall betroffen sind. Außerdem werden Tests durchgeführt, um sicherzustellen, dass die Systeme nach der Wiederherstellung ordnungsgemäß funktionieren, und die Behebung von Sicherheitslücken im Zusammenhang mit dem Sicherheitsereignis.

Die Reihenfolge der Wiederherstellung hängt von den Anforderungen Ihres Unternehmens ab. Im Rahmen des Wiederherstellungsprozesses sollten Sie eine Analyse der Geschäftsauswirkungen durchführen, um mindestens Folgendes zu ermitteln:

  • Geschäftsprioritäten oder Abhängigkeiten

  • Der Sanierungsplan

  • Authentifizierung und Autorisierung

Der NIST SP 800-61 Leitfaden zur Behandlung von Computersicherheitsvorfällen enthält mehrere Schritte zur Wiederherstellung von Systemen, darunter:

  • Wiederherstellung von Systemen aus sauberen Backups.

    • Stellen Sie sicher, dass die Backups vor der Wiederherstellung auf den Systemen geprüft wurden, um sicherzustellen, dass die Infektion nicht vorhanden ist, und um ein erneutes Auftreten des Sicherheitsereignisses zu verhindern.

      Backups sollten im Rahmen von Disaster-Recovery-Tests regelmäßig überprüft werden, um sicherzustellen, dass der Backup-Mechanismus ordnungsgemäß funktioniert und die Datenintegrität den Wiederherstellungszielen entspricht.

    • Verwenden Sie nach Möglichkeit Backups, die vor dem Zeitstempel des ersten Ereignisses erstellt wurden, das im Rahmen der Ursachenanalyse ermittelt wurde.

  • Neuaufbau von Systemen von Grund auf, einschließlich der Neubereitstellung aus einer vertrauenswürdigen Quelle mithilfe von Automatisierung, manchmal in einem neuen Konto. AWS

  • Kompromittierte Dateien durch saubere Versionen ersetzen.

    Sie sollten dabei große Vorsicht walten lassen. Sie müssen absolut sicher sein, dass die Datei, die Sie wiederherstellen, als sicher gilt und von dem Vorfall nicht betroffen ist

  • Patches werden installiert.

  • Passwörter ändern.

    • Dazu gehören Passwörter für IAM-Prinzipale, die möglicherweise missbraucht wurden.

    • Wenn möglich, empfehlen wir die Verwendung von Rollen für IAM-Prinzipale und den Verbund als Teil einer Strategie der geringsten Rechte.

  • Verschärfung der Netzwerkperimetersicherheit (Firewall-Regelsätze, Zugriffskontrolllisten für Boundary-Router).

Sobald die Ressourcen wiederhergestellt sind, ist es wichtig, die gewonnenen Erkenntnisse zu nutzen, um Richtlinien, Verfahren und Leitfäden zur Reaktion auf Vorfälle zu aktualisieren.

Zusammenfassend lässt sich sagen, dass es unerlässlich ist, einen Wiederherstellungsprozess zu implementieren, der die Rückkehr zu bekanntermaßen sicheren Betriebsabläufen erleichtert. Die Wiederherstellung kann lange dauern und erfordert eine enge Verknüpfung mit Eindämmungsstrategien, um die geschäftlichen Auswirkungen gegen das Risiko einer erneuten Infektion abzuwägen. Die Wiederherstellungsverfahren sollten Schritte zur Wiederherstellung von Ressourcen und Diensten, IAM-Prinzipalen und zur Durchführung einer Sicherheitsüberprüfung des Kontos zur Bewertung des Restrisikos umfassen.